1.

Establecer minimo 10 actividades importantes del proyecto y aplicar

la matriz RACI.

Actividades y
colaboradores
Columna Instrucciones
ID Actividad Se ingresa aqu el identificador (ID) de la actividad
de proyecto, con el mismo nmero utilizado para
identificar la actividad o paquete de trabajo en los
documentos de proyecto.
Actividad Se coloca el nombre completo de la actividad (Por
ej. "Realizar levantamiento de informacin",
"Elaborar Diseo Tcnico", "Desarrollar
Componente Java 001").
Colaboradores Sustituir el texto de cada columbra de
"Colaborador", con el nombre y apellido del
integrante del equipo de proyecto que se asignar
responsabilidades (Ej. Luis Gonzlez, Alberto
Garca, Mara Hernndez).
Roles / En cada rengln (fila) especificar el tipo de
Responsabilidades por responsabilidad asociado al colaborador de la
Actividad columna, con los siguientes valores posibles: R:
Responsable, A: Aprobador, C: Consultado, I:
Informado.

Roles y
Responsabilidades
Rol / Responsabilidad Descripcin
R Responsable: Este rol es el que realiza (ejecuta) el
trabajo asociado con la actividad, lo habitual es que
cada actividad tenga un solo "R", si existe ms de
uno es recomendable subdividir la actividad.
A Aprobador: Es el encargado de aprobar (firmar), el
trabajo realizado, a partir de esa aprobacin, este se
vuelve responsable por la actividad. Como regla
general debe existir un solo "A" por actividad. Este
rol es quien asegura que se ejecutan las tareas, por
ejemplo Lderes de rea tcnica, rea de gestin de
proyecto, entre otros.
C Consultado: Posee alguna informacin o capacidad
que se necesita para mantener el trabajo. Se le
informa y consulta informacin, de manera
bidireccional con el responsable y/o aprobador.
I Informado: Rol que debe ser informado sobre el
progreso y los resultados del trabajo. En este caso la
comunicacin es unidireccional (se le da informacin
pero no se recibe informacin).
 Matriz RACI
Actividad Roles / Responsabilidades
Gerente
de Gerente Gerente de Ing.Sis Progra
ID Actividad Actividad Proyecto Financiero Sistemas temas mador
Reunin Inicio del
Proyecto
1 R,I C A,C C C
Elaboracin del
plan de gestin
2 R,I R,I A,C,I I,C I,C
Levantamiento de
requerimiento
3 R C R,C R,C,I I,C

Diseo
4 A,I C,I R,C R,C

Bosquejo
5 A,I C,I R,C R,C
Aplicacin de
Normas
6 R A,C,I R,C C
Implementacin y
construccin
7 C R,I A,I R,I I,C

Pruebas
8 C A,I,C R I

Documentacin
9 C C R,I C
Unificacin de
Calidad
10 A,I I C,I R,C I,C
 2. Identificar las dos amenazas y las dos oportunidades que pueden afectar al proyecto
realizar un analisis Causa/Efecto.

3. Elaborar una matriz de Probabilidad-Impacto.

4. Elaborar un plan de contingencia para la amenza critica (prioridad alta) y la oportunidad

critica (prioridad alta ) minimo 5 actividdes.

Factor de Riesgo
RIESGO Muy Baj Medi Alt Muy Alto
Baj o o o
o
Incendio X
Inundacin x
Robo Comn X
Vandalismo, dao de equipos y X
archivos.
Fallas en los equipos, dao de X
archivos.
Equivocaciones, dao de archivos. x
Virus, dao de equipos y archivo. X
Terremotos, dao de equipos y X
archivos.
Acceso no autorizado, filtracin de X
info.
Robo de datos X
Fraude, alteracin de informacin. X
Desastre Total X

En base a la tabla anteriormente presentada, concluimos que nuestro anlisis de

riesgo a modo general, nos hace ver que las posibles contingencias que
pudieran presentarse en su mayora van de un factor de ocurrencia medio y muy
alto.

A continuacin realizamos un deslinde de las causas por las cuales mayormente

se presentan este tipo de contingencias, para ello realizamos la siguiente lista de
preguntas:

1. Con respecto al fuego, que puede destruir los equipos y los archivos

La Institucin cuenta con proteccin contra incendios?

Se cuenta con sistemas de aspersin automtica?

 Cuenta con diversos extintores?

Detectores de humo?

Los empleados estn preparados para enfrentar un posible

incendio?

2. Con respecto al robo comn, llevndose los equipos y archivos

En que tipo de vecindario se encuentra la Institucin?

Hay venta de drogas?

Los equipos de computo se ven desde la calle?

Hay personal de seguridad en la Institucin?

Cuntos vigilantes hay?

Los vigilantes, estn ubicados en zonas estratgicas?

Existe un sistema de seguridad para prevenir el ingreso de

personas no autorizadas?

3. Con respecto al vandalismo, que daen los equipos y archivos

Existe la posibilidad que un ladrn cause daos?

Hay la probabilidad que causen algn otro tipo de dao

intencionado?

4. Con respecto a fallas en los equipos, que daen los archivos

Los equipos tienen un mantenimiento continuo por parte de

personal calificado?

Cules son las condiciones actuales del hardware?

Es posible predecir las fallas a que estn expuestos los

equipos?

5. A equivocaciones que daen los archivos

Cunto saben los empleados de computadoras o redes?

 Los que no conocen del manejo de la computadora, saben a
quin pedir ayuda?

Durante el tiempo de vacaciones de los empleados, qu tipo

de personal los sustituye y qu tanto saben del manejo de computadoras?

6. Con respecto a la accin de virus, que daen los archivos

Se prueba software en la oficina sin hacerle un examen previo?

Est permitido el uso de disquetes en la oficina?

Todas las mquinas tienen unidades de disquetes?

Se cuentan con procedimientos contra los virus?

7. Con respecto a terremotos, que destruyen los equipos y archivos

La Institucin se encuentra en una zona ssmica?

El edificio cumple con las normas antissmicas?

Un terremoto, cunto dao podra causar?

8. Con respecto a accesos no autorizados, filtrndose datos

importantes

Existe registro de personal autorizado en la Municipalidad?

Qu probabilidad hay que un colaborador intente hacer un

acceso no autorizado?

Existe comunicacin remota de la red? Qu tipo de servicio se

utiliza (Telnet, FTP, etc)?

Contamos con Sistemas de Seguridad en el Correo Electrnico

o Internet?

9. Con respecto al robo de datos; y la posible difusin de estos.

Cunto valor tienen actualmente las Bases de Datos?

Cunta prdida podra causar en caso de que se hicieran

pblicas?
 Se ha elaborado una lista de los posibles sospechosos que
pudieran efectuar el robo?

10. Con respecto al fraude, va computadora.

Cuntas personas se ocupan de la contabilidad de la

Institucin?

Los sistemas son confiables?Pueden copiar datos en archivos?

Las personas que trabajan en las diferentes reas, qu tipo de

antecedentes laborales tienen?

Existe acceso a los sistemas desde otros sistemas externos o

por personas no autorizadas?

A. PLAN DE RECUPERACIN DE DESASTRES

Ahora definimos las acciones a tomar para recuperarnos de la ocurrencia de un

desastre. Este Plan de Recuperacin contiene 3 etapas:

1 ACTIVIDADES PREVIAS AL DESASTRE

Como actividades de planeamiento, preparacin, entrenamiento y

ejecucin de las actividades de resguardo de informacin que nos asegure
un proceso de recuperacin con el menor costo posible a nuestra
institucin, tenemos que sealar las siguientes acciones que son precisas
de realizar en la ejecucin del presente plan.

a. Definicin y Establecimiento de un Plan de Accin

Establecer los procedimientos relativos a:

(1). Sistemas de Informacin.- La GTIC tendr una relacin de

los Sistemas de Informacin con los que cuenta. Debiendo
identificar toda informacin sistematizada o manual, que sea
necesaria para la buena marcha Institucional.

La relacin de Sistemas de Informacin detallar los siguientes

datos:
 Nombre del Sistema, es determinado por el analista-
desarrollador asignado por la GTIC.
Lenguaje o Paquete con el que fue creado el Sistema,
programas que lo conforman (tanto programas fuentes
como programas objetos, rutinas, macros, etc.).
La Direccin, (Gerencia, Subgerencia, rea, etc) que
genera la informacin base (el <<dueo>> del sistema).
Las unidades o departamentos (internos/ externos) que
usan la informacin del Sistema.
El volumen de los archivos que trabaja el Sistema.
El volumen de transacciones diarias, semanales y
mensuales que maneja el sistema.
El equipamiento necesario para un manejo ptimo del
Sistema.
La(s) fecha(s) en las que la informacin es necesitada
con carcter de urgencia.
El nivel de importancia estratgica que tiene la
informacin de este Sistema para la Institucin (medido
en horas o das que la Institucin puede funcionar
adecuadamente, sin disponer de la informacin del
Sistema). Equipamiento mnimo necesario para que el
Sistema pueda seguir funcionando (considerar su
utilizacin en tres turnos de trabajo, para que el
equipamiento sea el mnimo posible).
Actividades a realizar para volver a contar con el
Sistema de Informacin (actividades de Restore).

Con toda esta informacin se realizar una lista priorizada

(Ranking) de los Sistemas de Informacin necesarios para que
la MDLM recupere su operatividad perdida en el desastre
(Contingencia).

(2). Equipos de Cmputo: Se tendr en cuenta lo siguiente:

Inventario actualizado de los equipos de manejo de

informacin (computadoras, lectoras de
microfichas, impresoras, etc.), especificando su
contenido (software que usa, principales archivos que
contiene), su ubicacin y nivel de uso institucional.

Plizas de Seguros Comerciales. Como parte de la

proteccin de los activos institucionales, pero haciendo la
salvedad en el contrato, que en casos de siniestros, la
restitucin del computador siniestrado se har por otro
de mayor potencia (por actualizacin tecnolgica),
siempre y cuando est dentro de los montos asegurados.
 Sealizacin o etiquetado de los Computadores de
acuerdo a la importancia de su contenido, para ser
priorizados en caso de evacuacin. Por ejemplo etiquetar
(colocar un sticker) de color rojo a los Servidores, color
amarillo a las PC's con informacin importante o
estratgica y color verde a las PC's de contenidos
normales.

Respaldo de PCs, tener siempre una relacin

actualizada de PCs requeridas como mnimo para cada
sistema permanente de la institucin (que por sus
funciones constituye el eje central de los servicios
informticos), para cubrir las funciones bsicas y
prioritarias de cada uno de estos sistemas cuando se
requiera.

(3). Obtencin y Almacenamiento de los Respaldos de

Informacin (BACKUPS): Establecer los procedimientos para
la obtencin de copias de Seguridad de todos los elementos de
software necesarios para asegurar la correcta ejecucin de los
sistemas o aplicativos de la MDLM, contando con:

Backups del Sistema Operativo. En caso

de tener varios sistemas operativos o versiones se
contar con una copia de cada uno de ellos.
Backups del Software Base. Paquetes y/o
Lenguajes de Programacin con los cuales han sido
desarrollados o interactan nuestros Aplicativos
Institucionales.
Backups del Software Aplicativo.
Considerando tanto los programas fuentes como los
programas objeto correspondiente, y cualquier otro
software o procedimiento que tambin trabaje con la
data, para producir los resultados con los cuales trabaja
el usuario final. Considerando las copias de los listados
fuentes de los programas definitivos, para casos de
problemas.
Backups de los Datos. Base de Datos,
ndices, tablas de validacin, passwords, y todo archivo
necesario para la correcta ejecucin del software
aplicativo de la MDLM.
Backups del Hardware. Implementar
mediante dos modalidades:
Modalidad Externa. Mediante convenio con otra
Institucin que tenga equipos similares o mayores y que
brinden la seguridad de poder procesar nuestra
Informacin, y ser puestos a nuestra disposicin, al
ocurrir una contingencia y mientras se busca una
solucin definitiva al siniestro producido. Este tipo de
convenios debe tener tanto las consideraciones de
 equipamiento como de ambientes y facilidades de trabajo
que cada institucin se compromete a brindar, y debe de
ser actualizado cada vez que se efecten cambios
importantes de sistemas que afecten a cualquiera de las
instituciones.

Modalidad Interna. Teniendo dos locales, en ambos

debemos tener sealados los equipos, que por sus
caractersticas tcnicas y capacidades, son susceptibles
de ser usados como equipos de emergencia del otro
local, debindose poner por escrito (igual que en el caso
externo), todas las actividades a realizar y los
compromisos asumidos.

En ambos casos se probar y asegurar que los

procesos de restauracin de Informacin posibiliten el
funcionamiento adecuado de los sistemas. En algunos
casos puede ser necesario volver a recompilar nuestro
software aplicativo bajo plataformas diferentes a la
original, por lo que es imprescindible contar con los
programas fuentes, al mismo grado de actualizacin que
los programas objeto.

(4). Polticas (Normas y Procedimientos de Backups):

Establecer los procedimientos, normas, y determinacin de
responsabilidades en la obtencin de los Backups
mencionados anteriormente en el punto 3). Incluyndose:

Periodicidad de cada tipo de Backups.

Respaldo de Informacin de movimiento entre los
perodos que no se cuenta con Backups (backups
incrementales).
Uso obligatorio de un formulario estndar para el registro
y control de backups.
Correspondencia entre la relacin de sistemas e
informaciones necesarias para la buena marcha de la
institucin (mencionado en el punto a) y los backups
efectuados.
Almacenamiento de los Backups en condiciones
ambientales ptimas, dependiendo del medio magntico
empleado.
Reemplazo de los Backups, en forma peridica, antes
que el medio magntico de soporte se pueda deteriorar
(reciclaje o refresco).
Pruebas peridicas de los Backups (Restore), verificando
su funcionalidad, a travs de los sistemas, comparando
contra resultados anteriores confiables.
b. Formacin de Equipos Operativos para el Plan de Accin
Todas las reas u oficinas de la MDLM, que almacenen Informacin y que
sirva para la operatividad institucional, designar un responsable de la
seguridad de dicha informacin. Pudiendo ser el jefe del rea o el
colaborador que maneje directamente la informacin.

Entre las acciones a tomar por la GTIC conjuntamente con las oficinas
sern:

Ponerse en contacto con los propietarios de las aplicaciones y

trabajar con ellos.
Proporcionar soporte tcnico para las copias de respaldo de las
aplicaciones.
Planificar y establecer los requerimientos de los sistemas operativos
en cuanto a archivos, bibliotecas, utilitarios, etc, para los principales
sistemas, subsistemas.
Supervisar procedimientos de respaldo y restauracin.
Supervisar la carga de archivos de datos de las aplicaciones y la
creacin de los respaldos incrementales.
Coordinar lneas, terminales, modem, otros aditamentos para
comunicaciones.
Establecer procedimiento de seguridad en los sitios de
recuperacin.
Organizar la prueba de hardware y software.
Ejecutar trabajos de recuperacin.
Cargar y probar archivos del sistema operativo y otros sistemas
almacenados en el local alternante.
Realizar procedimientos de control de inventario y seguridad de
almacenamiento en el local alternante.
Establecer y llevar a cabo procedimientos para restaurar el lugar de
recuperacin.
Participar en las pruebas y simulacros de desastres.
Supervisar la realizacin peridica de los backups, por parte de los
equipos operativos, comprobando fsicamente su realizacin,
adecuado registro y almacenamiento.

2. ACTIVIDADES DURANTE EL DESASTRE

Una vez presentada la contingencia, se ejecutar las siguientes
actividades:

a. Plan de Emergencia
 Establecer las acciones que se deben realizar cuando se presente
un siniestro, as como la difusin de las mismas.

Conviene prever los posibles escenarios de ocurrencia del Siniestro:

Durante el da.
Durante la Noche o madrugada.

Este plan incluir la participacin y actividades a realizar por todas y

cada una de las personas que se pueden encontrar presentes en el
rea donde ocurre la contingencia.

Si bien es cierto la integridad de las personas es lo primordial, se

deben adoptar medidas con el fin de asegurar la informacin
detallando:

Vas de salida o escape.

Plan de Evacuacin de Personal.
Plan de puesta a buen recaudo de los activos (incluyendo los
activos de informacin) de la MDLM (si las circunstancias del
siniestro lo posibilitan).
Ubicacin y sealizacin de los elementos contra el siniestro
(extinguidores, cobertores contra agua, etc)
Secuencia de llamadas en caso de siniestro, tener a la mano:
elementos de iluminacin (linternas), lista de telfonos de
bomberos/ ambulancias, Jefatura de Seguridad, Comisara
PNP y de su personal (equipos de seguridad) nombrados para
estos casos.

En caso de contingencias como fallas en equipos de cmputo,

fallas humanas, accin de virus, etc.; solicitar la ayuda del
personal de la GTIC, si es que en el rea no existe una
persona capacitada para resolver el problema.

b. Formacin de Equipos

Establecer claramente cada equipo (nombres, puestos, ubicacin,

etc.) con funciones claramente definidas a ejecutar durante el
siniestro.

Si bien la premisa bsica es la proteccin de la Integridad del

personal, en caso de que el siniestro lo permita (por estar en un
 inicio o estar en una rea cercana, etc.), deber de existir dos
equipos de personas que acten directamente durante el siniestro,
un equipo para combatir el siniestro y otro para el salvamento de los
recursos Informticos, de acuerdo a los lineamientos o clasificacin
de prioridades, para salvar los equipos sealados en el acpite
B.1.a. (Definicin y Establecimiento del Plan de Accin)

c. Entrenamientos

Establecer un programa de prcticas peridicas de todo el personal

en la lucha contra los diferentes tipos de siniestro, de acuerdo a los
roles que se le hayan asignado en los planes de evacuacin de
personal o equipos para minimizar costos, se puede aprovechar las
fechas de recarga de extinguidotes o las charlas de los
proveedores, etc.

Un aspecto importante es que el personal tome conciencia de los

siniestros (incendios, inundaciones, terremotos, apagones, y/o
atentados terroristas, etc.) pueden realmente ocurrir y tomar con
seriedad y responsabilidad estos entrenamientos, para estos efectos
es conveniente que participen los gerentes y subgerentes de la
MDLM, dando el ejemplo de la importancia que la alta direccin
otorga a la Seguridad Institucional.

3. ACTIVIDADES DESPUS DEL DESASTRE

Durante la contingencia, se tomar en cuenta lo planificado en el plan de

Emergencia.

a. Evaluacin de Daos.

Inmediatamente despus que la contingencia ha concluido, se

evaluar la magnitud de los daos producidos, estableciendo que
sistemas estn afectados, que equipos han quedado no operativos,
cuales se pueden recuperar, y en cuanto tiempo, etc.

Adicionalmente se lanzar un pre-aviso a la institucin con la cual

tenemos el convenio de respaldo, para ir avanzando en las labores
de preparacin de entrega de los equipos por dicha institucin.

b. Priorizacin de actividades del Plan de Accin

 Toda vez que el Plan de accin contemple una prdida total, la
evaluacin de daos reales y su comparacin con el Plan, nos dar
la lista de actividades que debemos realizar, siempre priorizndola
en vista a las actividades estratgicas y urgentes de nuestra
institucin.

Es importante evaluar la dedicacin del personal a actividades que

puedan no haberse afectado, para su asignamiento temporal a las
actividades afectadas, en apoyo al personal de los sistemas
afectados y soporte tcnico.

c. Ejecucin de Actividades.

La ejecucin de actividades implica la creacin de equipos de

trabajo para realizar las actividades previamente planificadas en el
Plan de accin.

Cada uno de estos equipos contar con un coordinador que

reportar diariamente el avance de los trabajos de recuperacin y,
en caso de producirse algn problema, informar de inmediato a la
jefatura a cargo del Plan de Contingencias (GTIC).

Los colaboradores de recuperacin tendrn dos etapas:

La primera, la restauracin de los servicios usando los
recursos de la MDLM o local de respaldo.
La segunda, es volver a contar con los recursos en las
cantidades y lugares propios de los sistemas de informacin,
debiendo ser esta ultima etapa lo suficientemente rpida y
eficiente para no perjudicar el buen servicio de nuestro sistema
e imagen institucional, como para no perjudicar la operatividad
de la MDLM o local de respaldo.

d. Evaluacin de Resultados.

Una vez concluidas las labores de recuperacin del (los) sistema(s)

que fueron afectados por la contingencia, se evaluar
objetivamente, todas las actividades realizadas, que tan bien se
hicieron, que tiempo tomaron, que circunstancias modificaron
(aceleraron o entorpecieron) las actividades del plan de accin,
como se comportaron los equipos de trabajo, etc.
 De la evaluacin de resultados y del siniestro, saldrn dos tipos de
recomendaciones, una la retroalimentacin del Plan de
Contingencias y otra una lista de recomendaciones para minimizar
los riesgos y prdida que ocasionaron el siniestro.

e. Retroalimentacin del Plan de Accin.

Con la evaluacin de resultados, se optimizar el plan de accin

original, mejorando las actividades que tuvieron algn tipo de
dificultad y reforzando los elementos que funcionaron
adecuadamente.